Postřehy z bezpečnosti: šifrování je důležitější než kdy dřív

Martin Čmelík 12. 8. 2013

V tomto díle seriálu se (mimo jiné) dozvíte, jak dlouho lze ještě považovat RSA za bezpečný algoritmus, jak NSA infikovala Tor síť svým exploitem, o ukončení služeb bezpečného zasílání emailů, o síti levných a distribuovaných analyzátorů WiFi, o botnetu distribuovaného úložiště v JavaScriptu a spoustu dalšího.

DEF CON

Skupina výzkumníků ze společnosti Neohapsis Labs na konferenci DEF CON představila novou/rychlejší techniku pro Man-in-the-Middle útoky na IPv6 síti. SLAAC (Stateless Address Auto Configuration) je mechanizmus umožňující generování unikátní IPv6 adresy na síti bez DHCP. Nástroj vlastně simuluje router na síti, a tak jde veškerý provoz skrz něj. Tool “Sudden Six”, který vytvořili, je možné stáhnout na Githubu.

Jak jsme již informovali. Charlie Miller (Twitter) a Chris Valasek (IOActive) demonstrovali na konferenci DEF CON, jak se za pomocí notebooku a diagnostického systému automobilu mohou úplně zmocnit auta. Mohou např. měnit zobrazenou rychlost, stav nádrže, odstavit brzdy, ovládat řízení apod. Velice znepokojivé, že? Podívejte se na demonstrační video.

Výzkumník Sean T. Malone (FusionX) představil na konferenci botnet HiveMind, napsaný v JavaScriptu, který byl schopen sestavit z prohlížečů uživatelů distribuované úložiště dat. Pomocí technologií HTML5 (WebSockets, Web Storage) a šifrování souborů algoritmem AES. Každý z účastníků takovéhoto botnetu jen stáhne script a použije prostor na svém disku k distribuovanému ukládání a dalšímu šíření dat.

Dvouhodinový dokument o konferenci DEF CON 20.

DEF CON v obrazech

Naše postřehy

Analýza cíleného útoku. V tomto dvoudílném článku o analýze cíleného útoku, který byl veden na náš server security-portal.cz, se dozvíte jak probíhal útok, jakou slabinu vlastně útočníci využili, jaké skripty u nás nechali (se zdrojovými kódy), jak se dostali ke kořenovému adresáři webu, proč jsme se stali zajímavým cílem útoku a jak podobným útokům předejít. 

V návaznosti na nový SSL/TLS útok BREACH se spekuluje, kolik let bude ještě RSA vůbec bezpečný algoritmus. Na konferenci Black Hat měl na dané téma přednášku Alex Stamos. Podle něj do pěti let bude matematika na takové úrovni, kdy již nebude tak časově náročné uhodnout klíče algoritmu RSA. Je čas pro eliptické křivky. Patent však vlastní BlackBerry.

FBI nechala zatknout Erica Eoin Marquese, provozovatele největšího hostingu Tor/hidden služeb “Freedom Hosting”. Důvodem je, že se na těchto serverech prý často vyskytovala dětská pornografie. Výpadek tohoto hostingu afektoval většinu běžících služeb na sítí Tor. Co je však nejzajímavější, NSA na servery hostingu vložila exploit zneužívající chybu v prohlížeči Firefox (17.0, 21.0), čímž se dostala do systému uživatelů a dále trasovala návštěvníky těchto stránek.

Americká společnost sídlící v Texasu Lavabit donedávna nabízela službu bezpečného zasílání emailů (GPG, TLS), kterou využíval i Edward Snowden při komunikaci s novináři. Hlavním rozdílem oproti ostatním velkým poskytovatelům bylo, že i emailové zprávy byly uložené na discích serveru pomocí GPG, takže ani administrátor Lavabitu nemohl dešifrovat obsah bez soukromého klíče uživatele. Něco podobného, jako používá úložiště MEGA. Bohužel však jak se v novinách objevila zpráva, že službu používá Edward Snowden,začaly se o ni zajímat bezpečnostní složky a nyní byl majitel služby donucen ji zrušit. Detaily bohužel nemůže sdělit. Službu používalo okolo 350 000 uživatelů.

Podobná služba Silent Circle/Mail byla zrušena také. Dle vyjádření na webu ještě neobdrželi žádnou obsílku, ale protože by se to dle nich stalo brzy, tak tomu raději předejdou a službu zruší již teď. Důvodem je to, že služba je oficiálně zrušena, takže stát po nich již nic nemůže chtít (logy a data ze serverů), protože servery byly smazány.

Jednadvacetiletý člen skupiny LulzSec Raynaldo Riviera byl odsouzen k jednoletému vězení, ke třinácti měsícům domácího vězení a tisíci hodinám prospěšných prací, a to vše kvůli nabourání do serverů sítě Sony Pictures Entertainment a zveřejnění databáze uživatelů.

OpenX, populární poskytovatel technologie pro internetové a mobilní reklamy, v poslední verzi svého produktu OpenX Source 2.8.10 obsahoval backdoor. Útočníkem byly pozměněny dva soubory umožňující pomocí funkce eval() úplně ovládnout server/web, který tuto technologii používal. Backdoor lze jednoduše identifikovat spuštěním toho příkazu:

grep -r --include "*.js" '<?php' /cesta/k/vasemu/webu

Arbor Networks odhalili botnet s názvem “Fort Disco”, který již kompromitoval přes 6000 webů založených na populárních CMS jako WordPress, Joomla apod. Je aktuálně tvořen 25 tisíci počítači s OS Windows a seznam cílů a hesel pro bruteforce odebírají ze šesti centrálních C&C serverů.

CreepyDOL (Creepy Distributed Object Locator) je levný WiFi senzor odposlouchávající provoz a zaznamenávající všechny informace vázané k jedné osobě nebo zařízení (iPhone, Android, …). Uvnitř běží Raspberry Pi, dvě WiFi antény a napájení je zajištěno přes USB s možností připojení i na elektrickou síť. Další zajímavosti je F-BOMB (Falling or Ballistically Launched Object that Makes Backdoors), což si představte jako síť těchto CreepyDOL zařízení, které jsou v dosahu a vyměňujících si informace o nalezených zařízeních a nasbíraných datech. Můžete takto v řetězci propojit zařízení přes celé městské bloky a odposlouchávat komunikaci všech v dosahu.

Úvod do automatizovaného řešení CAPTCHA obrázků. Popisuje existující služby, implementaci a pochopení funkce automatického luštění textu z obrázků, včetně ukázkového kódu a testování úspěšnosti.

widgety

Microsoft objevil chybu ve Windows Phone OS, kdy za použití PEAP-MS-CHAPv2 při autentizaci na WiFi AP by útočník mohl dešifrovat i přihlašovací údaje do domény, pokud by dané AP kontroloval. Jedná se spíše o upozornění a doporučení, ať zařízení ověřují vždy certifikát, čímž se vyhnou připojení na nastrčený access point.

Ve zkratce

Závěr

Tento seriál vychází za pomoci příznivců a redaktorů serveru (RubberDuck) Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter.

Našli jste v článku chybu?
120na80.cz: Začněte s posilováním imunity

Začněte s posilováním imunity

DigiZone.cz: Světový pohár v přímém přenosu na ČT

Světový pohár v přímém přenosu na ČT

Podnikatel.cz: Takhle se prodávají mražené potraviny

Takhle se prodávají mražené potraviny

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

Lupa.cz: Cimrman má hry na YouTube i vlastní doodle

Cimrman má hry na YouTube i vlastní doodle

Vitalia.cz: Jak Ondra o astma přišel

Jak Ondra o astma přišel

DigiZone.cz: Rapl: seriál, který vás smíří s ČT

Rapl: seriál, který vás smíří s ČT

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

Podnikatel.cz: Znáte už 5 novinek k #EET

Znáte už 5 novinek k #EET

Vitalia.cz: Fyzioterapeutka: Chůze naboso? Rozhodně ano!

Fyzioterapeutka: Chůze naboso? Rozhodně ano!

Vitalia.cz: Pryč se zastaralým stravováním ve školách

Pryč se zastaralým stravováním ve školách

Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

Podnikatel.cz: Letáky? Lidi zuří, ale ony stále fungují

Letáky? Lidi zuří, ale ony stále fungují

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

DigiZone.cz: Ginx TV: pořad o počítačových hráčích

Ginx TV: pořad o počítačových hráčích

Lupa.cz: Jak levné procesory změnily svět?

Jak levné procesory změnily svět?